安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > 一次Dvbbs.PHP 2.0的提权拿shell

一次Dvbbs.PHP 2.0的提权拿shell

时间:2014-09-16来源:网络 作者:candy1988点击:
Dvbbs Version 2.0++ RC1

作者:candy1988 //内容来自安云网

目标:   http://58.64.xxx.ooo/ //copyright AnYun.ORG

要求:拿到后台密码、拿到webshell、创建管理员账号密码、远程连接3389远程桌面 //安云网,anyun.org

过程:1、查看版本

//安云网咨询系统

打开页面,看到页面底部Copyright © 2000 – 2008 Dvbbs.PHP Powered By Dvbbs Version 2.0++ RC1通过这个提示,我们知道这个这个网站使用的是一个动网的2008的一个论坛源码,在搜索的过程中,我发现这套源码存在一个注入boardrule.php这个文件对参数过滤不够严,这样就可以注入数据库,查询数据库中的表和数据//安云网,anyun.org

一次Dvbbs.PHP 2.0的提权拿shell

//内容来自AnYun.ORG

  //本文来自安云网

2、构造注入 //安云网,anyun.org

利用存在的注入漏洞手动构造注入数据库查询数据库版本 //安云网咨询系统

http://www.yunsec.net/boardrule.php?groupboardid=111111/**/union/**/select/**/version()

//copyright AnYun.ORG

一次Dvbbs.PHP 2.0的提权拿shell //ANYUN.ORG

 

//copyright AnYun.ORG

查询发现数据库版本为5.5.27,之前mysql曾经出现过一个漏洞,可以以任何密码尝试256次之后登陆mysql,但是在5.5.27版本已经修复,所以这个方法走不通; //ANYUN.ORG

3、注入获取后台账号密码

//ANYUN.ORG

http://www.yunsec.net/boardrule.php?groupboardid=1/**/union/**/select/**/concat(username,password)/**/from%20av_admin%20where%20%20id%20=%201/**/ //安云网,anyun.org

一次Dvbbs.PHP 2.0的提权拿shell //安云网,anyun.org

 

//安云网咨询系统

  //内容来自AnYun.ORG

我们看到后台账号:gongxi 密码058f24c82c0fe757 //安云网咨询系统

  //ANYUN.ORG

一次Dvbbs.PHP 2.0的提权拿shell //ANYUN.ORG

通过md5解密后,发现后台密码为henrongyi //安云网,anyun.org

4、注入获取前台账号密码

//copyright AnYun.ORG

http://yunsec.neto/boardrule.php?groupboardid=1/**/union/**/select/**/concat(username,userpassword)/**/from%20av_user%20where%20%20userid%20=%201/**/ //内容来自AnYun.ORG

一次Dvbbs.PHP 2.0的提权拿shell

//安云网咨询系统

 

//copyright AnYun.ORG

我们看到前台的账号admin,密码469e80d32c0559f8

//本文来自安云网

一次Dvbbs.PHP 2.0的提权拿shell

//安云网,anyun.org

 

//本文来自安云网

Md5解密后,发现密码为admin888

//ANYUN.ORG

现在前台:admin  admin888

//内容来自安云网

     后台:gongxi  henrongyi //安云网,anyun.org

5扫描后台

//内容来自AnYun.ORG

利用webscan扫描http://yunsec.net/的后台,发现后台路径为

//ANYUN.ORG

http://www.yunsec.net/admin/login.php //安云网,anyun.org

一次Dvbbs.PHP 2.0的提权拿shell //安云网,anyun.org

  //安云网咨询系统

6、登陆后台

//内容来自AnYun.ORG

成功登陆后台; //ANYUN.ORG

一次Dvbbs.PHP 2.0的提权拿shell //copyright AnYun.ORG

 

//copyright AnYun.ORG

7上传webshell //安云网,anyun.org

   在风格管理里面,添加风格模版,提示没有权限,上传头像gif,也是提示没有权限,尝试了很多方法,后台上传shell均不成功,放弃; //安云网咨询系统

一次Dvbbs.PHP 2.0的提权拿shell

//内容来自AnYun.ORG

一次Dvbbs.PHP 2.0的提权拿shell

//本文来自安云网

 

//copyright AnYun.ORG

  //内容来自AnYun.ORG

8,重新尝试注入数据库

//copyright AnYun.ORG

这次用工具来注入,利用Havij尝试注入,注入点为: //内容来自AnYun.ORG

http://yunsec.net/boardrule.php?groupboardid=1,结果这次注入成功,获取到了所有的表、字root用户,密码的md5值等等,到此,我的小心脏兴奋了,前面走了太多的弯路,终于踏上正道了,这个时候发现root的密码md5解不开,头疼,在准备放弃的时候,发现这个注入点还可以读取任意的配置文件,自己讲dvbbs下载到本地分析,找到配置文件的路径为/inc/config.php; //安云网,anyun.org

一次Dvbbs.PHP 2.0的提权拿shell
//安云网,anyun.org

  //内容来自AnYun.ORG

9、读取config.php //内容来自AnYun.ORG

File Address里面添加config.php的绝对路径 //内容来自AnYun.ORG

C:www/dvbbsinonfig.php //安云网,anyun.org

然后点击read file,瞬间我的小心脏又兴奋了,账号密码赤裸裸的躺着 //安云网,anyun.org

// 数据库(database server) //安云网,anyun.org

$dbhost = ‘localhost';

//copyright AnYun.ORG

// 数据库名(database name)

//ANYUN.ORG

$dbname = ‘sqlzhuru'; //内容来自AnYun.ORG

// 数据库用户名(database username) //ANYUN.ORG

$dbuser = ‘root'; //copyright AnYun.ORG

// 数据库密码(database password)

//安云网咨询系统

  //安云网,anyun.org

$dbpw = ‘config/w123′; //ANYUN.ORG

一次Dvbbs.PHP 2.0的提权拿shell

//安云网,anyun.org

  //copyright AnYun.ORG

10、利用mysql //安云网,anyun.org

前面用webshell这条路走不通,拿到mysqlroot用户密码之后,就可以尝试利用udf来提权了;

//本文来自安云网

一次Dvbbs.PHP 2.0的提权拿shell
//安云网咨询系统

 

//内容来自AnYun.ORG

加入管理员组

//安云网咨询系统

一次Dvbbs.PHP 2.0的提权拿shell //安云网,anyun.org

 

//本文来自安云网

11、远程登录 //内容来自AnYun.ORG

尝试3389端口,连接不上,端口没有打开,远程打开,尝试失败,打开扫描工具,扫描端口;发现10001端口开着,尝试从10001作为远程桌面窗口登录,登录成功;

//内容来自安云网

一次Dvbbs.PHP 2.0的提权拿shell

//ANYUN.ORG

 

//内容来自AnYun.ORG

登录桌面

//内容来自安云网

一次Dvbbs.PHP 2.0的提权拿shell

//内容来自AnYun.ORG

  //内容来自AnYun.ORG

  //ANYUN.ORG

12、登录成功 //本文来自安云网

一次Dvbbs.PHP 2.0的提权拿shell
//安云网,anyun.org

利用远程桌面上传后门shell,到此结束; //内容来自安云网


//ANYUN.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容